äskettäin, Kaspersky löysi uuden hyödyntämisen, joka hyödynsi tuntemattoman virheen Chromessa, jonka Google on vahvistanut olevan nollapäivän haavoittuvuus selaimessasi ja että se on jo luetteloitu nimellä CVE-2019-13720.
Tämä haavoittuvuus voidaan hyödyntää hyökkäyksellä samanlaisella injektiolla kuin hyökkäys "Vettyvä aukko". Tämän tyyppinen hyökkäys viittaa saalistajaan, joka mieluummin kuin odottaa saalista, odottaa mieluummin paikassa, jossa on varmaa, että se tulee (tässä tapauksessa juomapisteessä).
kuten hyökkäys löydettiin korealaisesta tietoportaalista, jossa pääsivulle on lisätty haitallinen JavaScript-koodi, joka puolestaan lataa profilointikoodin etäsivustolta.
Pieni JavaScript-koodin lisäys oli verkkosivun hakemistossa joka latasi etäkoodin kohteesta code.jquery.cdn.behindcrown
Skripti lataa sitten toisen komentosarjan. Tämä komentosarja tarkistaa, voidaanko uhrin järjestelmä saada tartunnan tekemällä vertailu selaimen käyttäjäagenttiin, jonka on oltava käynnissä 64-bittisessä Windows-versiossa eikä WOW64-prosessi.
myös yritä saada selaimen nimi ja versio. Haavoittuvuus yrittää hyödyntää Google Chrome -selaimen virhettä ja komentosarja tarkistaa, onko versio suurempi tai yhtä suuri kuin 65 (Chromen nykyinen versio on 78).
Chrome-versio tarkistaa profilointikoodin. Jos selainversio on vahvistettu, komentosarja alkaa suorittaa sarjan AJAX-pyyntöjä hyökkääjän hallitsemalla palvelimella, jossa polun nimi osoittaa komentosarjalle välitetyn argumentin.
Ensimmäinen pyyntö on tarpeen tärkeitä tietoja myöhempää käyttöä varten. Nämä tiedot sisältävät useita heksakoodattuja merkkijonoja, jotka kertovat komentosarjalle, kuinka monta palaa todellisesta hyödyntämiskoodista ladataan palvelimelta, sekä URL-osoitteen kuvatiedostoon, joka sisältää avaimen lopullista latausta varten ja RC4-avaimen salauksen purkamiseksi. hyväksikäytön koodi.
Suurin osa koodista käyttää erilaisia luokkia, jotka liittyvät tiettyyn haavoittuvaan selainosaan. Koska tätä virhettä ei ollut vielä korjattu kirjoituksen aikaan, Kaspersky päätti olla sisällyttämättä tietoja haavoittuvasta komponentista.
On joitain isoja taulukoita, joissa on numerot, jotka edustavat komentokoodilohkoa ja upotettua PE-kuvaa.
Hyödynnä käytti kilpailuehtovirhettä kahden säikeen välillä oikean ajoituksen puutteen vuoksi heidän joukossa. Tämä antaa hyökkääjälle erittäin vaarallisen käytön jälkeisen käytön (UaF) ehdon, koska se voi johtaa koodin suoritusskenaarioihin, mitä juuri tässä tapauksessa tapahtuu.
Hyödyntäminen yrittää ensin saada UaF: n menettämään tärkeitä tietoja 64-bittinen osoite (kuten osoitin). Tästä seuraa useita asioita:
- jos osoite ilmoitetaan onnistuneesti, se tarkoittaa, että hyödyntäminen toimii oikein
- paljastettua osoitetta käytetään selvittämään, missä kasa / pino sijaitsee ja joka ohittaa ASLR-tekniikan (Address Space Format Randomization).
- joitain muita hyödyllisiä vihjeitä jatkokäyttöä varten voitaisiin löytää katsomalla lähelle tätä suuntaa.
Yritä sen jälkeen luoda suuri joukko objekteja rekursiivisen toiminnon avulla. Tämä tehdään deterministisen kasan asettelun luomiseksi, mikä on tärkeää onnistuneen hyödyntämisen kannalta.
Samanaikaisesti yrität käyttää kasan ruiskutustekniikkaa, jonka tarkoituksena on käyttää uudelleen samaa osoittinta, joka aiemmin julkaistiin UaF-osassa.
Tätä temppua voidaan käyttää hämmentämään ja antamaan hyökkääjälle mahdollisuus toimia kahdella eri objektilla (JavaScript-näkökulmasta), vaikka ne olisivatkin tosiasiassa samalla muistialueella.
Google on julkaissut Chrome-päivityksen joka korjaa virheen Windowsissa, macOS: ssa ja Linuxissa, ja käyttäjiä kehotetaan päivittämään Chrome-versioon 78.0.3904.87.